2011年7月20日，“2011中国汽车电子国际论坛暨汽车半导体应用峰会”正式召开。

主持人：下面我们请Mathworks的董先生来进行“ISO26262与基于模型的汽车电子软件设计”的演讲，大家欢迎！

董淑成：

大家好，我是Mathworks公司的应用工程师，我叫董淑成，今天我的演讲主题是“ISO26262与基于模型的汽车电子软件设计”，演讲之前我想先介绍一下我们公司。我们公司总部在美国的麻省，我们公司目前在很多国家，20多个国家有分公司，我们有175个国家超过100万的用户在使用Mathworks的产品，我们有两大主要的板块，主要应用在汽车等领域。我们的产品有两大家族，其中一个就是芯片家族，我们今天给大家介绍基于模型设计主要是芯片家族，我们是自动生成代码，我下面介绍的内容有两块，一个是关于ISO26262这个已经有不少人提高过了，另外我们我会提到基于模型设计和ISO26262的关系。

首先我们看一下，我们汽车已经提高过，在汽车电子在汽车产业里面占的比重越来越大，现在一辆高端车有超过100个ECU，这个在汽车电子的应用，会带来很多的问题，首先我们看，如果说这个产品可能会带来一些安全性的问题，这是我们每一个用户所担心的，这类事故会对我们的家庭带来很大的打击，在车厂等来讲，汽车会带来一个制度，车子如果是出现严重的事故，就要召回多少车辆进行维护，这有一个表格，因为软件设计而造成车辆召回的数据，我们可以看到，在2005年的时候有16万辆车因为软件设计缺陷引起召回。因为这个问题的存在，所以在欧洲一些大的公司，比如说戴普乐，宝马等等他们就通过一些标准化的东西去约束汽车链的开发国家，让我们的汽车链能够有更高的安全性，所以这也是ISO26262的有赖。ISO26262全面叫道路车辆公共安全标准，其实来自IEC61508他是专门用于汽车领域，这有一点，是提高汽车电子的产品，而不是传统的机械产品。这个是2009年的时候，ISO组织提供一份草稿，在今年上个月，6月份的时候正式发布，其实这个标准提出来之后，就立刻受到了各大整车厂商的高度关注，包括OEM厂商也已经开始关注到这个标准，它们可能会要求它们的供应商在开发链产品的时候会遵循ISO26262。另外IEC61508提出了一个概念，我们知道AISL，就是安全管理等级在ISO26262里面，这里提到了ASIL，就是汽车安全，这里有四个阶段，还有基模设计，可见这已经成为汽车行业软件开发的一个通行做法，我们看到在ISO26262里面的一个大的结构，ISO26262里面有十个部分，他涵盖了整个汽车电子产品的开发路线，从概念设计、产品开发，产品开发包括硬件设计，软件设计等不同的方面，到最后的产品生产运营，我们今天讨论点是软件设计当中有ISO26262—6，就是软件产品设计和ISO26262—8开发流程，我们提到ASIL等级，这里提到一个严重程度，事故发生的概率，然后是事故发生的可控性，发生以后的决定它来决定我们的需求，或者是用户定义的ASIL等级，举一个例子，一个事故发生之后，造成的后果非常严重，可能是车毁人亡，这个事故的发生几乎无法控制，这就是ASIL最高的等级。我们通过这个表，除了KUM之外，还由于KUM这是什么意思呢？质量管理。如果某一个故障发生之后，它对我们的安全没有任何影响，举一个简单的例子，你车里面一个灯坏掉了，它肯定不会造成安全影响，大不了在修理厂重新装一个。这个就不会划为ASIL的等级它归未知量管理的问题，所以我们从ASIL来看，ISO26262这样一个安全标准，他其实是和以前我们提到的质量有衔接的。我们看ISO26262软件设计要求，标准差不多介绍了软件架构、软件设计、软件集成等等，包括安全要求，这个用不同颜色标出来的，这是我们在后面提高的基模设计里面关系非常密切的两块，我们设计的时候要做的工作就是软件的Simuink来设计，软件开发里面有一个开发工具，以及这个方法工具都是一个要求，比如说在设计的时候，我们设计员就会选择Simuink来进行设计，他必须要接受技术规范，他也会告示你一套规范。

第二个他给出了一个标准，他也支持软件的运行和处理，是什么方法。关于设计流程方面，我们看到是这样一个流程，从软件的接口到安全管理到配置管理、变更管理、验证管理、稳当管理等等，这和我们以前看到的传统的开发流程没有什么区别，这要注意的一点是，这里他有一个工具的资质审核，当按照ISO26262的要求，当时软件是简化或者是自动化与安全相关的开发合作，需要与使用的软件工具进行资质审核，就是不是任何一个软件开发工具都可以应用于符合ISO26262的开发要求，你需要一些通过这种资质审核的工具才能应用到这个开发流程当中去。我们首先来看软件工具的分类，它分出了一个TCL等级，就是软件里面的信任级别，看到比如说有一个TCL为1，为最高的时候，那么TCL 4应该为最低，如果他使用TCL1的信任软件工具的，我们就不需要进行软件资质审核，如果是使用其他软件工具的时候，我们就需要进行一个审核。这是两个方法，就是要进行要求，这是四种方法，还有评估开发流程，验证软件工具，这是一些审核方法，对于不同的ISO等级，和TCL水平的软件工具，审核的时候我们有一个要求，比如你对ISO有非常高的应用，你必须要很严格的来做审核，对于ISO等级比较低，并且TCL水平比较高，你可以适当的上调。我们注意到有一点，在同一个汽车等级上，ISO等级越高的时候，审核的要求也越高，我们看到有一个括号，括号里提到TCL1等于0，这是为什么呢？TCL1等于软件工具，我们是无须进行审核，前面我们大致的介绍了ISO26262软件开发的标准，下面我们基于软件基模设计和ISO26262，我们大致给大家介绍一下基模设计在软件行业有哪些应用，因为基模设计应用于汽车电子领域，任何一家厂商都在使用。在任何行业的开发领域我们都在使用基模设计，因为基模会大大的提高我们的效率。芯片提供了一个系统建模和代码，这是我们国内的东风车，他把基模的设计应用到管理模块上。

最后我们来看一下总结，道路车辆功能安全标准ISO 26262已经在汽车行业得到广泛关注，并开始得到应用，ISO26262其实涵盖了整个生命周期，得到了行业里的广泛应用，然后ISO 26262提供了完整的测试与验证流程，Embedded Coder、SLVnV等在符合ISO 26262标准的软件开发中无需做进一步的资质审核方法，确认软件的合法使用。在符合ISO26262的开发过程当中进一步的审核，ISO26262还为我们提供了从模块使用、参数配置、Stateflow和MISRA建模规范，我们在做这种模型开发的时候，要遵守MathWorks提供的这样一个建模规范，另外我们建模开发提供一个流程，这样我们很容易达到ISO26262认证，当然我们也希望能够和天府软件园进行合作，能够推广这种应用，因为这是提高效率的方式。